客戶可以使用 VMware SASE Orchestrator 中的防火牆功能,來設定和管理增強型防火牆服務 (EFS)。

開始之前

為了讓 EFS 功能正常運作,請完成以下動作:
  • 確定 Edge 版本已升級到 5.2.0.0。
  • 確定已在企業層級啟用 EFS 功能。如果希望啟用 EFS 功能,請與您的操作員連絡。操作員可以從 SD-WAN > 全域設定 (Global Settings) > 客戶組態 (Customer Configuration) > SD-WAN 設定 (SD-WAN Settings) > 功能存取 (Feature Access) UI 頁面,來啟用 EFS 功能。

在設定檔層級進行 EFS 規則設定

  1. 在企業入口網站的 SD-WAN 服務中,移至設定 (Configure) > 設定檔 (Profiles)設定檔 (Profiles) 頁面即會顯示現有的設定檔。
  2. 若要進行某個設定檔防火牆的設定,請按一下指向該設定檔的連結,然後按一下防火牆 (Firewall) 索引標籤。或者,您也可以按一下該設定檔的防火牆 (Firewall) 資料行中的檢視 (View) 連結。
  3. 防火牆 (Firewall) 頁面隨即出現。
  4. 開啟增強型防火牆服務 (Enhanced Firewall Services) 切換按鈕,以便為與該設定檔相關聯的所有 Edge 啟用 EFS 功能。依預設,不會啟用此功能。
  5. 防火牆規則 (Firewall Rules) 下方,您可以建立新的 EFS 規則或修改 EFS 設定的現有防火牆規則。
    • 若要建立新的 EFS 規則,請執行下列動作:
      1. 按一下 +新增規則 (+New Rule) 按鈕。
      2. 規則名稱 (Rule Name) 文字方塊中,輸入規則的唯一名稱。若要從現有規則建立防火牆規則,請從複製規則 (Duplicate Rule) 下拉式功能表中選取要複製的規則。
      3. 設定比對 (Match) 條件,以及當流量符合定義的比對準則時所要執行的防火牆動作 (Firewall Actions)。如需詳細資訊,請參閱設定防火牆規則
      4. 選取 IDS/IPS 核取方塊,然後啟用 IDS 或 IPS 切換,以建立防火牆。當使用者僅啟用 IPS 時,將自動啟用 IDS。EFS 引擎會檢查透過 Edge 傳送/接收的流量,並將內容與 EFS 引擎中設定的特徵碼相互比對。
        備註: 僅當防火牆動作是 允許 (Allow) 時,才能在規則中啟用 EFS。如果防火牆動作不是 允許 (Allow),將停用 EFS。
        • 入侵偵測系統 (Intrusion Detection System) - 在 Edge 上啟用 IDS 時,Edge 會根據引擎中設定的某些特徵碼,來偵測流量是否為惡意。如果偵測到攻擊,則當 Orchestrator 中啟用了防火牆記錄時,EFS 引擎會產生警示,並將警示訊息傳送到 SASE Orchestrator/Syslog 伺服器,且不會捨棄任何封包。
        • 入侵防護系統 (Intrusion Prevention System) - 在 Edge 上啟用 IPS 時,Edge 會根據引擎中設定的某些特徵碼,來偵測該流量是否為惡意。如果偵測到攻擊,EFS 引擎會產生警示,並且僅當特徵碼規則中的動作為 [拒絕 (Reject)] 且符合惡意流量時,才會封鎖傳輸到用戶端的流量。如果特徵碼規則中的動作為 [警示 (Alert)],則將允許流量而不會捨棄任何封包,即使您設定了 IPS 也是如此。
        備註: 當 Edge 上啟用了 IDS/IPS 時,VMware 建議客戶不要啟用 VNF。
      5. 若要將 EFS 記錄傳送到 Orchestrator,請開啟擷取 EFS 記錄 (Capture EFS Log) 切換按鈕。
        備註: 若要讓 Edge 將防火牆記錄傳送到 Orchestrator,請確定已在 [全域設定 (Global Settings)] UI 頁面下,在客戶層級啟用 [啟用對 Orchestrator 的防火牆記錄 (Enable Firewall logging to Orchestrator)] 客戶功能。如果希望啟用 [防火牆記錄 (Firewall Logging)] 功能,客戶必須與操作員連絡。
      6. 按一下建立 (Create)
    • 若要修改 EFS 設定的現有防火牆規則,請執行下列動作:
      1. 設定檔防火牆 (Profile Firewall) 頁面的防火牆規則 (Firewall Rules) 區域下方,按一下要修改的現有防火牆的規則名稱 (Rule Name) 資料行下的連結。
      2. 修改 IDS/IPS 設定,然後按一下編輯 (Edit)
  6. 按一下儲存變更 (Save Changes)

在 Edge 層級進行 EFS 規則設定

  1. 在企業入口網站的 SD-WAN 服務中,移至設定 (Configure) > EdgeEdge 頁面即會顯示現有的 Edge。
  2. 若要設定 Edge,請按一下 Edge 的連結,或按一下 Edge 的防火牆 (Firewall) 資料行中的檢視 (View) 連結。
  3. 按一下防火牆 (Firewall) 索引標籤。
  4. 若要覆寫特定 Edge 繼承的 EFS 設定,請選取覆寫 (Override) 核取方塊,然後開啟增強型防火牆服務 (Enhanced Firewall Services) UI 標籤旁的切換按鈕。
  5. Edge 防火牆 (Edge Firewall) 頁面的防火牆規則 (Firewall Rules) 區域下方,您可以為 Edge 建立新的 EFS 規則或覆寫繼承的 EFS 規則設定。請遵循在設定檔層級進行 EFS 規則設定一節的步驟 5 中所述的程序。
  6. 覆寫 EFS 規則設定後,按一下儲存變更 (Save Changes)

備註: 在使用 IDS/IPS 的情況下,當您在全域設定層級或每個規則層級啟用 EFS 服務時,未升級至 5.2.0 版的現有 Edge 的防火牆規則不會受到任何影響。